メール認証の安全性について

このQ&Aのポイント
  • 最近よく見かける空メールを送信してログインするメール認証について安全性に疑問が出ました。
  • URLに自分のメールアドレスが表示されている場合、情報漏洩が起きやすくなっているのでしょうか?
  • メール認証用のURLの安全性についての心配が増してきました。
回答を見る
  • ベストアンサー

メール認証の安全性について

何らかのエントリーの為に空メールを送信し、 返信メールの本文の中のURLからログインを実施する、 という認証が最近によく見掛けられる様になりましたが、 其のURLについての疑問が沸き起こりました。 そもそも、『メール認証』用の相手先URLの末尾には、"id="という表示が有り、其の後に、サイト内検索対象のワードが『暗号化済みの状態』で綴られているのだろう、と私は勝手に想像して参りましたので、安全性の保証には余り気になっていませんでした。 でも、最近に某企業へ空メールを送信しますと、 私の側のメールアドレスが丸見えになったURLへのリンクが張られた状態で、返信メールが届きました。 従いまして、急に心配が増しましたので、伺います。 「『メール認証用のURL』の末尾に自分の側のメールアドレスが剥き出しで表示されている、という状況の場合には、其のURLへのログインの際に情報漏洩が起きやすくなっているのでしょうか?」

質問者が選んだベストアンサー

  • ベストアンサー
  • chie65535
  • ベストアンサー率43% (8481/19299)
回答No.1

>其の後に、サイト内検索対象のワードが『暗号化済みの状態』で綴られているのだろう、と私は勝手に想像 これは「貴方のメールアドレスが暗号化されたものや、貴方宛に送った事を確認するための識別コード」です。 >私の側のメールアドレスが丸見えになったURLへのリンクが張られた状態で、返信メールが届きました。 暗号化せずに処理すればそうなります。 >其のURLへのログインの際に情報漏洩が起きやすくなっているのでしょうか? いいえ。 こういうログインシステムは、以下のようになっています。 1.ユーザーが空メールを送る。 2.空メールがエントリアドレスに届くと、メールの「送信元」が取り出され、ユーザー情報を管理するサーバーに「このメールアドレスが仮登録中」と言う「仮ユーザー情報」が作られます。 3.同時に、送信元に「登録用URL」が送られます。 このURLには、固有IDやメールアドレス、一回しか使えない固有の識別コードなどが付加されます。これらは「そのまま」だったり「暗号化」されていたりします。 4.一定時間内に、送られたURLにアクセスがあると、URLに含まれた固有IDやメールアドレス、一回しか使えない固有の識別コードを元に、ユーザー情報を管理するサーバーに「このメールアドレスは仮登録中か?」を問い合わせ、仮登録中であれば「本登録用の画面」が出て来ます。 5.ユーザーが本登録用の画面の入力フォームに記入して「登録ボタンを押す」と、ユーザー情報を管理するサーバーに情報が書き込まれ、登録が完了する。 なお、一定期間内に本登録を行わないで居ると、自動的に「本登録されなかった仮登録メールアドレス情報が消去される」ようになっています。 URLが記載されたメールに「○日以内に登録を完了させて下さい」って書いてあるのは、このためです。 --- 上記のようなシステムになっているので、何の情報も漏洩しません。 URLのメールアドレス部分を書き換えて(URLを偽造して)、他人用のURLを開いても、ユーザー情報管理サーバーに「仮登録中」という情報が無いので、本登録に失敗し「登録用URLは無効か、登録の期限が切れています。空メールの送信からやり直して下さい」と言う趣旨の警告が出るだけです。 「URLにメールアドレスそのまま含まれている」と「URLが暗号化されている」に何か違いがあるとすれば「他人のメールアドレスを使ってのイタズラが簡単か難しいかの違いだけ」です。 もし「URLにメールアドレスそのまま含まれている」場合に問題が起きるとしたら「貴方が空メールを送ったあと、貴方が返信されてきたメールを見る前に、他人がURLを偽造して貴方用のURLを開いて本登録作業をしてしまう」と言うケースだけです。 しかし、このケースが起きるのは「返信メールが来てるのに、本登録作業をすぐに行わず放置してしまった時だけ」です。 普通は、空メールを送って返信が来たらすぐに本登録を開始するので、他人が割り込むチャンスは限りなくゼロに近いです。 URLが暗号化されている場合は、URLを偽造出来ないですから、他人が割り込んで本登録する事は出来ません。

codotjtp
質問者

お礼

『ブラウザ』が搭載されていない某移動体端末機からの空メールへの返信内容を読みました際に、 今回の疑問が沸き起こって参りましたので、 たとえ過去に危険性に曝されたPCから当該URLへのアクセスを試みましても、安全性が保証され得るのか、 という点が気になりましたから、教えて頂けませんでしょうか?

codotjtp
質問者

補足

有り難う御座います。 たとえメールアドレス丸出しのURLへのログインを、 他の端末機から検索しましても、 其のURLから送信元の齟齬を検知させ得ますでしょうか?

関連するQ&A

  • サイトへの簡単で安全な認証方法について

    サイトへログインが楽に行えるように、 URLの引数に暗号キーをつけてログイン認証する 仕組みにしようかと考えているのですが、 そのようなログインは見たことがありません。 簡単にクラックされてしまうでしょうか? ログイン情報が同一サイトからPOST送信されたか 確かめるべきでしょうか? 1.URLだけで認証(ログインは楽) 2.POSTで認証&クッキー保存認証に対応 (ログインは楽) 2.の方がよさそうですが、クッキーは暗号化 しないと危険でしょうか?

  • URIアクセスで認証をパスしたい。

    現在、セッションを使った認証を使っています。 ログイン画面にID,PASSWORDを入力して認証をしておりますが、 URIをメールで送信しそのURLからアクセスした場合は 認証をパスした状態でログインさせたいと思います。 どうすればこのようなことができますでしょうか。

    • 締切済み
    • PHP
  • 空メールの自動返信

    携帯から空メールを送信したら自動返信で会員登録用URLを 送信したいのですが、会員登録用URLに 携帯のメールアドレス(空メールを送信)を追加したいのですが どうすればよいのかがわかりません。 どのようなスクリプト?でできるのか教えてください。

    • 締切済み
    • PHP
  • メール経由の認証

    『ワンタイムURLの説明( http://itpro.nikkeibp.co.jp/free/TIS/keitai/20040825/148987/?ST=keitai&P=4 )』を読みました際に、 過去の不気味な経験を思い出しました。 其の時には、某企業から私の移動体通信端末へのメール文で、 特定のURLへのアクセスが指示されていたのですが、奇しくも、 後半のクエリストリングが平文の儘に留まっていました故に、 私の移動体通信端末のメールアドレスが丸見えになっていました。 従いまして、私は警戒を致しまして、 其処へのアクセスを辞めました。 確かに、もし『ワンタイムURL』の目的を果たさせる事だけを考慮するのでしたら、 其の場合には、たとえクエリストリングの値が剥き出しになっていましょうとも、 其のURLの再利用が阻まれていさえすれば、当該サーバは殆ど侵害され得まい、 と私にも思われますが、其のクエリストリングの内容は私の移動体通信端末のメールアドレスの値ですので、 それが盗聴されますと、様々な危険の発生が懸念され始めますから、 大変に畏れ入りますが、其のサイトへのログインが本当に安全だったのかを教えて頂けませんでしょうか?

  • 空メールを送信してもらい、メールアドレスが入った状態のフォームのurl

    空メールを送信してもらい、メールアドレスが入った状態のフォームのurlを自動返信メールで送る物を考えています。 空メールを受信し、返信本文にフォームのurlが入ったメールを自動返信します。 (ここまでは解決済み) ↓ 例えば、「http://xxx.com/form.cgi?email=xxx@yyy.com」のようなurlへ飛べば、フォームに既にメールアドレスが入っているような状態にしたいのです。 このような事が出来るcgiやphpでフリーのものをご存知であれば教えて頂けると助かります。 有料でも構いませんが、出来れば独自ドメインで運用したいので、レンタル系の物以外でご存知であれば、どうぞ宜しくお願いいたします。

    • ベストアンサー
    • CGI
  • ★ラクマの認証SMSが届きません。

    今まではメールアドレスとパスワードでログインできていました。 先日その後の画面で「認証が必要です。 ご登録の電話番号(末尾15)に送信した4桁の数字を入力してください」と なりましたが登録した携帯番号にSMSが届きません。 スマホが無くてPCで利用しています。 ちなみにメルカリでもSMSでの認証があり、 そちらではちゃんと着信できています。 ラクマへ問い合わせできないので解決方法を教えてください。

  • Zohoメールの認証メール再送信のやり方は?

    Zohoメールを利用しているのですが、連絡用メールアドレスの認証期限が過ぎてしまいました。 しかし、新しい認証メールを送信する方法が分かりません。 説明には、 1. Zohoアカウントにサインイン 2. 個人設定>> メールアドレスに移動してください。 3. 「認証メールの再送信」をクリックしてください。 と書かれていますが、「認証メールの再送信」というボタンがどうしても見つかりません。 大変困っているので、どなたか分かりやすく教えていただけないでしょうか? よろしくお願い致します。

  • 認証ようのメールが届きません

    認証ようのメールが届きません 注文番号:2021081188863 勘場厚 以下は注文受付完了時に表記された内容です  最初の部分は消えてしまって分かりません -------------------------------------------------------- (ボタン)認証用メールを送る  (ボタン)メールアドレスを変更する      (ボタン)あとで確認する > こんなのもありました --------------------------------------------------------- 認証用メールをお送りしました ご登録のメールアドレス宛に認証用メールをお送りしました。 メールに記載のURLをクリックして、メールアドレス認証を完了させてください。 (ボタン) 閉じる ---------------------------------------------------- 以上です 認証用のメールが届きません ※OKWAVEより補足:「ひかりTVのサービスやISPぷらら」についての質問です。

  • メールアドレスの認証が出来ない

    メールアドレスの認証が出来ず、IDが使用できません。 メールアドレスを認証させるために何度メールを送っても、OKwaveから返信が来ず、メールアドレスの認証が出来ません。 私は、こちらの質問サイトを利用し始めて10年以上になりますが、これまでこうしたトラブルはありませんでした。 今まで使用していたIDが使えなくなるのは、本当に困ります。真剣な悩みから些細な疑問まで、あらゆる質問をしていたのに、それが出来なくなるのは、本当に困ります。 OKwaveは、私にとってとても重要なライフラインです。それを断たれてしまうのは、生活を乱されるのと同じです。 これは、運営側からの嫌がらせか仕打ちでしょうか? 本当に困っているので、無事IDが使えるようになる解決法を教えて下さい。宜しくお願いします。

  • 本人認証メールの仕組みについて

    本人認証メールの仕組みについて分からないので教えてください。 教えてgooなどもにたような仕組みを使っていると思うのですが、なにがしかのWebサービスに登録するときに、会員登録用URLや、本人認証用URLというのがメールで送られてくる場合があります。 このリンク先をクリックすると、登録が完了しました、となったり、本人認証が完了しました、となります。 この場合、リンク先をクリックすると、そのURLをうけ取っているメールのログイン情報やメールアカウントやサーバーに残っている他のメールの情報が抜き取られたり、不正アクセスされたりすることはあるのでしょうか? さいきん、覚えのない会員登録用URLが送られてきて、よく考えずにクリックしてしまい、メールアカウントの情報や他のメールが抜き取られるのではないかと(フリーメールをつかっていますが、結構いろいろな場面で使っている重要なアドレスなので)不安になっています。